McAfee客戶端代理漏洞存提權執行漏洞

McAfee近日修復了該公司的McAfee Agent for Windows軟件中發現的一個安全漏洞，使攻擊者能夠提升權限并使用SYSTEM權限執行任意代碼。

McAfee代理Agent是McAfee ePolicy Orchestrator(McAfee ePO)的客戶端組件，可下載和實施端點策略，并在企業端點上部署防病毒簽名、升級、補丁和新產品。

漏洞等級：高危；CVSS分：7.8

該公司已經修補了被跟蹤為CVE-2022-0166的高嚴重性本地權限提升 (LPE) 漏洞，該漏洞由CERT/CC漏洞分析師Will Dormann發現，并于1月18日發布了McAfee Agent 5.7.5的安全更新。

McAfee Agent 5.7.5之前的所有McAfee Agent版本都容易受到攻擊，并允許非特權攻擊者使用NT AUTHORITY\SYSTEM賬戶權限運行代碼，這是Windows系統上的最高權限級別，由操作系統和操作系統服務使用。

“McAfee Agent隨McAfee Endpoint Security等各種McAfee產品一起提供，包括一個OpenSSL組件，該組件將OPENSSLDIR變量指定為一個子目錄，我可以在Windows上由非特權用戶控制，”Dormann解釋說。“McAfee Agent包含使用此OpenSSL組件的特權服務。可以將特別制作的openssl.cnf文件放置在適當路徑的用戶可能能夠以SYSTEM權限執行任意代碼。”

如你司全面使用McAfee產品，必須盡快升級，否則被用心之人利用，遠程攻擊起來恐出現大問題。

可用于規避、加載惡意負載

成功利用后，威脅行為者可以持續執行惡意有效負載，并可能在攻擊期間規避檢測。雖然只能在本地利用，但威脅參與者通常會在攻擊的后期利用這種類型的安全漏洞，在滲透到目標機器以提升權限以獲得持久性并進一步損害系統之后。

這不是安全研究人員在分析McAfee的Windows安全產品時第一次發現漏洞。

例如，2021年9月，McAfee修補了Tenable安全研究員Clément Notin發現的另一個McAfee Agent權限提升漏洞(CVE-2020-7315)，該漏洞允許本地用戶執行任意代碼并結束防病毒軟件。

兩年前，McAfee修復了影響其所有版本的Windows防病毒軟件(即Total Protection、Anti-Virus Plus和Internet Security)的安全漏洞，并允許潛在的攻擊者提升權限并使用SYSTEM賬戶權限執行代碼。